Il DORA si presenta come un sistema di comando. Lo dimostra il fatto che l’Unione europea ha costruito un’architettura di leadership obbligatoria, all’interno della quale il vertice aziendale è chiamato a operare come un vero posto di comando.

La resilienza digitale non può essere delegata, ma deve essere esercitata.

Ecco come gli articoli 5 e 6 del DORA definiscono responsabilità, struttura, catena di comando, strategia, comunicazione, addestramento e controllo.

È un viaggio nella trasformazione culturale che porta il Board a diventare il centro di gravità dell’intera resilienza operativa. Una trasformazione che ricorda i principi del comando militare: responsabilità finale, consapevolezza, visione e disciplina decisionale.

Una struttura che parla di governo

Nel primo capitolo della tetralogia si focalizza su una verità che la cultura digitale tende spesso a dimenticare: si reagisce come ci si è preparati e ogni preparazione richiede una mente strategica ed un luogo in cui viene definita la direzione.

Nel mondo militare esiste un punto preciso in cui convergono informazioni, decisioni e responsabilità: è il posto di comando che non è solo un luogo fisico, ma è anche la sede della responsabilità ultima.

Un comandante militare può dunque delegare molte funzioni, ma certamente non può delegare l’esito dell’operazione che gli è stata affidata.

Il DORA introduce questo concetto nel governo d’impresa con l’articolo 5 (2)(a) che recita “l’organo di gestione assume la responsabilità finale per la gestione dei rischi informatici”.

In modo complementare, l’articolo 6 definisce il quadro per la gestione dei rischi informatici cioè la struttura attraverso cui il comando diventa azione.

In questo articolo entro all’interno di questa architettura: una struttura chiamata ad occuparsi di governance cioè di comando e controllo.

Il CdA come posto di comando: responsabilità finale e natura del potere

Nel linguaggio militare, la responsabilità finale è il cardine dell’autorità. Il comandante risponde della sua unità anche quando non ha materialmente eseguito le azioni e ne risponde perché ha deciso gli obiettivi, le priorità, la distribuzione delle risorse, le regole d’ingaggio.

Il DORA trasferisce questa logica nel dominio digitale.

L’articolo 5, paragrafo 2, lettera a), non lascia margini, stabilendo testualmente che “l’organo di gestione assume la responsabilità finale per la gestione dei rischi informatici”.

La responsabilità finale non si può delegare e non si può ignorare. Questa è una trasformazione culturale, perché per la prima volta, la sicurezza informatica viene posta allo stesso livello della solidità patrimoniale, della trasparenza contabile e della gestione del rischio finanziario.

Il digitale, quindi, non è un tema tecnico, ma un pilastro del governo d’impresa.

Una catena di comando chiara: ruoli, cooperazione, responsabilità

Ogni operazione militare si basa su ruoli definiti, gerarchie comprensibili, responsabilità tracciabili.

La confusione organizzativa è un moltiplicatore di rischio. Il DORA applica anche questo principio al governo dell’impresa moderna, imponendo al CdA di:

• definire ruoli ICT;
• assicurare cooperazione;
• approvare strategie;
• fissare la tolleranza al rischio;
• supervisionare la continuità operativa;
• allocare risorse adeguate;
• verificare la formazione.

Queste sono tutte attività di comando che richiedono presenza, comprensione, scelta.
Inoltre, il CdA non deve limitarsi a “leggere report”, ma deve costruire una catena di comando informativa al fine di:

• ricevere le informazioni giuste, nella forma giusta e al momento giusto;
• sapere come e dove si distribuiscono le dipendenze critiche;
• comprendere gli impatti operativi degli incidenti informatici.

A tal fine, l’articolo 5, paragrafo 2, lettera i) del DORA stabilisce che il Board debba essere sistematicamente informato sugli accordi con i fornitori, sui rischi associati e sui potenziali impatti degli incidenti di sicurezza.

L’addestramento del vertice: la formazione come obbligo legale

Nel mondo militare nessuno assume un ruolo di comando senza addestramento anche, perché la responsabilità cresce insieme alla competenza.

Il DORA porta questo principio nella governance: l’articolo 5(4) impone ai membri del Board di mantenere attivamente aggiornate competenze e conoscenze sui rischi informatici.

Si tratta di un vero e proprio obbligo legale che, per la prima volta, lega la responsabilità digitale alla competenza personale.

Questo significa che:

• chi siede in CdA deve comprendere il rischio informatico;
• deve essere in grado di valutarlo;
• deve saper leggere le implicazioni operative;
• deve poter contestare, chiedere, verificare, decidere.

Inizia, quindi, l’era del CdA come comandante informato.

Il quadro di gestione dei rischi informatici è il centro di gravità

Von Clausewitz definiva il “centro di gravità” come il nucleo da cui un sistema trae forza. Nel mondo digitale, il centro di gravità è il quadro per la gestione dei rischi informatici, disciplinato dall’articolo 6.

Il quadro è la struttura operativa che permette di:

• identificare;
• proteggere;
• rilevare;
• rispondere;
• ripristinare;
• apprendere.

Non è un mero documento ma un sistema vivente che il legislatore descrive come “una struttura solida, esaustiva e adeguatamente documentata”, ma soprattutto come un sistema soggetto a miglioramento continuo.

Il quadro è l’equivalente di una linea di difesa dinamica, costruita per adattarsi al mutare dell’avversario. Come ogni struttura militare, deve essere testato, aggiornato, corretto.

Il quadro per la gestione dei rischi informatici è, quindi, la forma concreta del comando, il modo in cui le decisioni del CdA diventano operazioni.

La strategia di resilienza operativa digitale

Ogni unità militare in operazione, per realizzare la propria missione, riceve sempre delle indicazioni di alto livello cioè delle linee strategiche che indicano come muoversi, come reagire e come affrontare il nemico.

Il DORA ha mutuato questo schema definendo all’art. 6(8) la strategia di resilienza operativa digitale.

È la parte più visibile della visione del Board che:

• spiega in che modo il quadro per la gestione dei rischi informatici sostiene gli obiettivi e la strategia commerciale dell’entità finanziaria;
• definisce tolleranza al rischio;
• descrive l’architettura ICT necessaria;
• stabilisce indicatori chiave (KPI e KRI);
• prevede meccanismi di difesa;
• istituzionalizza esercitazioni, test, simulazioni;
• introduce capacità predittiva.

È, sostanzialmente, una strategia che vuole anticipare l’attacco esattamente come accade in un’operazione militare ben pianificata.

La strategia è ciò che permette all’organizzazione di muoversi prima che l’avversario colpisca.

Il vertice deve diventare centro del comando digitale

Il DORA è una normativa europea ma prima ancora è un messaggio: il vertice deve diventare centro del comando digitale.

Gli articoli 5 e 6 disegnano una governance che assomiglia più a un posto di comando che a un organo di amministrazione tradizionale.

Competenza, visione, responsabilità finale, catena di comando informativa, strategia operativa: questa è la nuova grammatica della leadership digitale.

Nel prossimo capitolo della tetralogia, si affronterà la dimensione più viva del DORA: la resilienza come comportamento, l’apprendimento continuo, la lettura dei segnali deboli nonché la capacità di reagire e anticipare.